Pyatnitsev Danil Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 (изменено) Первое предупреждение! Изменено 10 июня, 2008 пользователем Олег777 удалил вредоносные файлы
akoK Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 (изменено) Отключите востановление системы AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\vzho546.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\sysservice.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); SetServiceStart('sywtdxaz', 4); DeleteService('sywtdxaz'); QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys',''); SetServiceStart('qandr', 4); DeleteService('qandr'); QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys',''); QuarantineFile('C:\WINDOWS\system32\Beep.sys',''); SetServiceStart('Google Online Services', 4); DeleteService('Google Online Services'); QuarantineFile('C:\Documents and Settings\Катя\ie_updates3r.exe',''); QuarantineFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll',''); QuarantineFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll'); DeleteFile('C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll'); DeleteFile('C:\Documents and Settings\Катя\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys'); DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys'); DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\sysservice.exe'); DeleteFile('C:\WINDOWS\system32\vzho546.exe'); DeleteFile('C:\System Volume Information\_restore{0BA9BC03-4269-4713-A1ED-A21A017DC9CE}\RP647\A0155007.exe'); BC_ImportALL; ExecuteRepair(9); BC_Activate; ExecuteSysClean; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма Повторите логи и приложите лог HJT Изменено 10 июня, 2008 пользователем akoK
Pyatnitsev Danil Опубликовано 10 июня, 2008 Автор Опубликовано 10 июня, 2008 (изменено) wise-wistful, 3. Отладчики процессов ставили какие-то? - Даже не знаю, что это... Изменено 10 июня, 2008 пользователем Pyatnitsev Danil
Pyatnitsev Danil Опубликовано 10 июня, 2008 Автор Опубликовано 10 июня, 2008 QuarantineFile('C:\Documents and Settings\Катя\ie_updates3r.exe',''); это точно вирус. можно сразу удалять
akoK Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 DeleteFile('C:\Documents and Settings\Катя\ie_updates3r.exe'); Уже
vidocq89 Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 Данил, неужели это ваш комп? или вы от знакомой сейчас в инете сидите?..
akoK Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 Данил, неужели это ваш комп? Оно так и есть мы теперь знаем настоящее имя....Катя
Pyatnitsev Danil Опубликовано 10 июня, 2008 Автор Опубликовано 10 июня, 2008 сейчас я со своего компьютера... Он чистый (я надеюсь), а это сегодняшние логи однокласницы... Я уже хотел Windows переустанавливать с форматам диска.
vidocq89 Опубликовано 10 июня, 2008 Опубликовано 10 июня, 2008 сейчас я со своего компьютера... Он чистый (я надеюсь), а это сегодняшние логи однокласницы... Я уже хотел Windows переустанавливать с форматам диска. ну спс. успокоили. а то я то испугался что у вас такая жуть на компе твориться.
Pyatnitsev Danil Опубликовано 10 июня, 2008 Автор Опубликовано 10 июня, 2008 кстати, сегодня уже записал диск восстановления. Пришел... запустил... Недостаточно памяти для выполнения задачи...
Pyatnitsev Danil Опубликовано 15 июня, 2008 Автор Опубликовано 15 июня, 2008 Скрипт вроде помог. hijackthis.rar virusinfo_syscure.zip virusinfo_syscheck.zip sysinfo.rar установил на компьютер касперского 2009. Защитил паролем. проверил карантин каспером. почти все вирусы определяются сигнатурно. Не видит 2 файла: C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\registry.dll C:\DOCUME~1\КАТЯ\LOCALS~1\Temp\nsl10E.tmp\newadvsplash.dll вот их сейчас отправлю в вирлаб
akoK Опубликовано 15 июня, 2008 Опубликовано 15 июня, 2008 C:\WINDOWS\system32\Beep.sys - опознал? А обновить базы AVZ религия не позволила? Пофиксить в HijackThis следующие строчки O24 - Desktop Component 0: (no name) - http://www.dom3mir.ru/i/bg_para.jpg R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = ðð R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = https=ðð:1111111 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ññûëêè Какие проблемы еще остались? 1
Pyatnitsev Danil Опубликовано 15 июня, 2008 Автор Опубликовано 15 июня, 2008 C:\WINDOWS\system32\Beep.sys - опознал? Rootkit.win32.Agent.aol А обновить базы AVZ религия не позволила? 1. Инета небыло (временно) 2. Забыл :blink: Пофиксить в HijackThis следующие строчки можно объяснить, что это даст? (просто завтра опять идти не хочу) Какие проблемы еще остались? проблем не наблюдаю. ps Спасибо, сейчас это отразится в репутации
akoK Опубликовано 15 июня, 2008 Опубликовано 15 июня, 2008 можно объяснить, что это даст? Уборка мусора....не критично.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти